Oracle Cloud Infrastructureドキュメント

シングル・サインオンを使用したOracle Fusion Data Intelligenceへのユーザー・アクセスの設定

Oracle Fusion Cloud Applicationsのユーザーがシングル・サインオンを使用してOracle Fusion Data Intelligenceにアクセスする方法を設定できます。この設定により、ユーザー名とパスワードの管理方法が簡略化されます。Oracle Fusion Data Intelligenceインスタンスを作成する前に、この設定を完了する必要があります。ただし、Oracle Fusion Data Intelligenceインスタンスの作成後にさらに設定が必要であることが示されている場合を除きます。

トピック:

シングル・サインオンを使用したOracle Fusion Data Intelligenceへのユーザー・アクセスの設定について

シングル・サインオンを使用すると、アプリケーション間でのユーザー・アクセスの管理が簡素化されます。

Oracle Fusion Data Intelligenceのユーザーは、主にOracle Fusion Cloud Applicationsユーザーであり、アイデンティティ・プロバイダでOracle Fusion Data Intelligence専用に作成するユーザーです。シングル・サインオンを使用したこれらのユーザーのOracle Fusion Data Intelligenceへのアクセスの設定は、クラウド・アカウントで使用可能なアイデンティティ・ドメインによって異なります。

Oracle Cloudリージョンは、Oracle Cloud Infrastructure Identity and Access Management (IAM)アイデンティティ・ドメインを使用します。Identity Domain Overviewを参照してください。クラウド・アカウントにアイデンティティ・ドメインが存在することを簡単に判断できます。Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を確認します。

次のいずれかのケースで、シングル・サインオンを使用してOracle Fusion Data Intelligenceへのユーザー・アクセスを設定します。
  • Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceは同じクラウド・アカウントでアクティブ化されます。これは、Oracle Fusion Data IntelligenceとOracle Fusion Cloud Applicationsの間のセキュリティ統合を設定する際の時間、コストおよび複雑さを節約し、継続的な同期パフォーマンスを向上させるため、強くお薦めします。
  • Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceは、異なるクラウド・アカウントでアクティブ化されます。これにより、Oracle Fusion Data IntelligenceとOracle Fusion Cloud Applicationsの間のセキュリティ統合を設定する際に、時間、費用、複雑さが増し、継続的な同期のパフォーマンスが低下します。

単一のクラウド・アカウントの場合のユーザー・アクセスの設定

Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceが同じクラウド・アカウントでアクティブ化され、クラウド・アカウントがアイデンティティ・ドメインを提供している場合、シングル・サインオンを使用してOracle Fusion Data Intelligenceへのユーザー・アクセスを設定します。

Oracle Fusion Cloud Applicationsと同じクラウド・アカウントでOracle Fusion Data Intelligenceがアクティブ化されたOracle Fusion Cloud Applicationsの新規ユーザーで、クラウド・アカウントがアイデンティティ・ドメインを提供している場合は、次のステップを実行します。

  1. Oracle Fusion Data IntelligenceのJWTベース認証を設定します。
    「JWT認証プロバイダの構成」を参照してください。トークンベースの認証の構成中に、信頼できる発行者としてFAWServiceJWTIssuerと入力してください。
  2. Oracle Cloud Infrastructure Consoleを使用して次のポリシーを追加し、Oracle Fusion Cloud Applicationsに関連付けられたアイデンティティ・ドメインのユーザーがOracle Fusion Data Intelligenceコンパートメントにアクセスできるようにします: 
    Allow group '<DomainName>'/'<GroupName>' to manage analytics-warehouses in 
      tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage
        analytics-instances in 
      tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage
        autonomous-database-family 
      in tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage all-resources
        in 
      compartment <compartment name>

    ポリシーの管理のポリシーの作成に関する項を参照してください。

  3. 後で使用するために、Oracle Fusion Cloud ApplicationsインスタンスのURLをコピーしてテキスト・ファイルに貼り付けます。Oracle Fusion Data Intelligenceインスタンスの作成時に、このURLをソースOracle Fusion Cloud Applicationsとして指定します。
  4. Oracle Cloud Infrastructureで、クラウド・アカウント管理者資格証明を使用してOracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceサービスの両方がアクティブ化されているクラウド・アカウントにサインインします。
  5. Oracle Cloud Infrastructureのサインイン・ページで、Oracle Fusion Data Intelligenceインスタンスの作成時にソースとして指定するOracle Fusion Cloud Applicationsインスタンスに対応するドメインを選択します。
  6. Oracle Cloud Infrastructure Consoleで、「ナビゲーション」メニュー・アイコンをクリックし、「アナリティクスとAI」をクリックして、「データ・インテリジェンス」をクリックしてOracle Fusion Data Intelligenceインスタンスを作成します。

個別のクラウド・アカウントの場合のユーザー・アクセスの設定

Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceが別々のクラウド・アカウントでアクティブ化され、両方のクラウド・アカウントがアイデンティティ・ドメインを提供している場合、シングル・サインオンを使用してOracle Fusion Data Intelligenceへのユーザー・アクセスを設定します。

アイデンティティ・ドメインを提供する別の新しいクラウド・アカウントでOracle Fusion Data Intelligenceがアクティブ化されているアイデンティティ・ドメインを提供するクラウド・アカウントで、Oracle Fusion Cloud Applicationsの新規ユーザーである場合は、次のステップを実行します。

  1. 後で使用するために、Oracle Fusion Cloud ApplicationsインスタンスのURLをコピーしてテキスト・ファイルに貼り付けます。
    Oracle Fusion Data Intelligenceインスタンスの作成時に、このURLをソースOracle Fusion Cloud Applicationsとして指定します。
  2. Oracle Fusion Data Intelligenceをアクティブ化し、Oracle Fusion Data Intelligenceにサインインできるユーザーの認証および認可を制御するドメインをクラウド・アカウントに作成します。
    「無料」ドメイン・タイプを選択してくださいが、Oracle Fusion Data Intelligenceには適用されないため、Freeドメイン・タイプに指定された制限は無視してください。コンソールの使用アイデンティティ・ドメインの作成およびアイデンティティ・ドメインの作成を参照してください。
  3. Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインからのユーザー、グループおよびグループ・マッピングの同期を有効にするために、Oracle Fusion Data Intelligenceをアクティブ化したクラウド・アカウントで作成したアイデンティティ・ドメインでGenericSCIMテンプレートを構成します。
    GenericSCIMテンプレートの構成時に、GenericScim - クライアント資格証明テンプレートを使用し、「プロビジョニング操作の選択」「認可同期」を選択します。「接続の構成」セクションで、ホスト名が(httpsなしで)次のサンプル形式であることを確認します: idcs-123456abcde123.identity.oraclecloud.com汎用SCIMアプリケーション・テンプレートの構成を参照してください。
  4. Oracle Fusion Cloud Applicationsに関連付けられたアイデンティティ・ドメインと、Oracle Fusion Data Intelligenceに関連付けられたアイデンティティ・ドメインの間のシングル・サインオンを構成します。
  5. Oracle Cloud Infrastructure Consoleで、Oracle Cloud Infrastructureポリシーを作成して、ドメイン・ユーザーがOracle Fusion Data Intelligenceインスタンスを作成できるようにします。
    ポリシーの作成時に、Oracle Fusion Data Intelligenceインスタンスを作成するアイデンティティ・ドメインを選択し、次のポリシー・ステートメントを入力します:
    • グループ'<DomainName>'/'<GroupName>'にテナンシ内のanalytics-warehousesの管理を許可します
    • グループ'<DomainName>'/'<GroupName>'にテナンシ内のアナリティクス・インスタンスの管理を許可します
    • グループ'<DomainName>'/'<GroupName>'がテナンシ内のautonomous-database-familyを管理することを許可します

    ポリシーを作成するにはを参照してください。

  6. Oracle Cloud Infrastructure Consoleで、「ナビゲーション」メニュー・アイコンをクリックして「データ・インテリジェンス」に移動し、Oracle Fusion Data Intelligenceインスタンスを作成します。
  7. シングル・サインオンのアイデンティティ・プロバイダ・ポリシーを作成して、Oracle Fusion Data Intelligenceのサインイン・ページにOracle Fusion Cloud Applications資格証明でサインインするオプションがあることを確認します。

    コンソールの使用アイデンティティ・プロバイダ・ポリシーの追加を参照してください。

    「IdPルールの追加」ページの「アイデンティティ・プロバイダの割当て」で、「SAMLアプリケーションの追加」で作成したSAML IDP(FAW-SSO SAMLアイデンティティ・プロバイダなど)を選択します。

  8. ANALYTICSAPP_<faw-instance-name>およびANALYTICSINST_oax<faw-instance-name>-<id>分析アプリケーションをシングル・サインオンのアイデンティティ・プロバイダ・ポリシーに割り当てます。
    これらのアプリケーションを介して認証しようとしたときに、これらのアプリケーションの「サイン・イン」ページに表示されるアイデンティティ・プロバイダは、シングル・サインオンのアイデンティティ・プロバイダ・ポリシーに割り当てたアイデンティティ・プロバイダのみです。たとえば、FAW-SSO SAMLアイデンティティ・プロバイダです。これらのアプリケーションは、Oracle Fusion Data Intelligenceインスタンスの作成時に作成されました。コンソールの使用ポリシーへのアプリケーションの追加を参照してください。

2つのアイデンティティ・ドメイン間のシングル・サインオンの構成

Oracle Fusion Cloud Applicationsに関連付けられたアイデンティティ・ドメインとOracle Fusion Data Intelligenceに関連付けられたアイデンティティ・ドメインの間のシングル・サインオンを構成し、ユーザーが既存のOracle Fusion Cloud Applications資格証明を使用してOracle Fusion Data Intelligenceにサインインできるようにします。

Oracle Fusion Cloud Applicationsに関連付けられたアイデンティティ・ドメインとOracle Fusion Data Intelligenceに関連付けられたアイデンティティ・ドメインの間のシングル・サインオンを構成するには、Oracle Cloud Infrastructure Consoleを使用してSecurity Assertion Markup Language (SAML)アプリケーションを作成する必要があります。次に、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルの詳細を使用して、このSAMLアプリケーションを構成します。

トピック:

SAMLアプリケーションの追加

Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインにSecurity Assertion Markup Language (SAML)アプリケーションを追加して、ユーザーを1回認証してからその認証を複数のアプリケーションに通信する方法を提供します。

  1. Oracle Fusion Cloud Applicationsに関連付けられたクラウド・アカウントの資格証明を使用して、Oracle Cloud Infrastructure Consoleにサインインします。
  2. 「ナビゲータ」メニューで「アプリケーション」をクリックし、「アプリケーション」ページで「追加」をクリックします。
  3. 「Add Application」で、「SAML Application」を選択します。
  4. 「SAMLアプリケーションの追加」ページの「詳細」セクションで、FAW-SSOなどの名前を入力し、「ユーザーはアクセスをリクエストできます」チェック・ボックスを選択して、ユーザーがアプリケーションにアクセスできるようにします。
  5. 「SSO構成」セクションで、「アイデンティティ・プロバイダ・メタデータのダウンロード」をクリックして、Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインのメタデータXMLファイルをダウンロードし、ローカル・マシンにメタデータXMLファイルを保存します。
  6. Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルから特定の値を収集するために、このSAMLアプリケーションの構成を一時的に保存および一時停止します。
アイデンティティ・ドメイン・メタデータ・ファイルからの詳細のコピー

作成したSAMLアプリケーションの構成時に使用するテキスト・ファイルに、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルから詳細をコピーします。

  1. Oracle Fusion Data Intelligenceサービス管理者資格証明を使用してOracle Cloud Infrastructure Consoleにサインインします。
  2. Oracle Cloud Infrastructureの「ナビゲータ」メニューで、「アイデンティティとセキュリティ」をクリックし、「アイデンティティとセキュリティ」ペインで「アイデンティティ」の下の「ドメイン」をクリックします。
  3. 「ドメイン」ページで、このクラウド・アカウントで作成したアイデンティティ・ドメインに移動し、アイデンティティ・ドメインの詳細ページで「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  4. アイデンティティ・ドメイン・ページのアイデンティティ・プロバイダ(IdP)ポリシーで、「IdPの追加」をクリックし、ドロップダウン・リストから「SAML IdPの追加」を選択します。
  5. 「SAMLアイデンティティ・プロバイダの追加」ページの「詳細の追加」セクションで、Fusion SSOログインなどの名前を入力します。
  6. 「IdPの構成」セクションで、「アイデンティティ・プロバイダ・メタデータのインポート」ラジオ・ボタンを選択して、ローカル・マシンに以前にダウンロードしたOracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインのメタデータXMLファイルを選択してインポートします。
  7. Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインの「ユーザー名」が電子メールまたは短縮名の場合、「属性のマップ」セクションで「未指定」を選択します。「ユーザー名」が電子メールの場合は、EmailAddressを選択します。
  8. 「エクスポート」セクションで、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルとその署名証明書をダウンロードします。
  9. Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルをテキスト・エディタで開き、entityIDAssertionConsumerServiceおよびSingleLogoutServiceの値を、作成したSAMLアプリケーションの構成時に使用する別のテキスト・ファイルにコピーします。
  10. Oracle Fusion Cloud Applicationsに関連付けられたクラウド・アカウントの資格証明を使用して以前にサインインしたOracle Cloud Infrastructure ConsoleでのSAMLアプリケーションの構成に戻ります。
SAMLアプリケーションの構成

Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルの詳細を使用して、Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインで作成したSAMLアプリケーションを構成します。

「SAMLアプリケーションの追加」で一時停止したSAMLアプリケーションの作成に戻ります。
  1. 「SAMLアプリケーションの追加」ページで、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルと署名証明書を使用して、「一般」セクションの「エンティティID」および「アサーション・コンシューマURL」の値を入力します。
  2. 署名証明書で、「アップロード」をクリックして、以前にダウンロードしてアップロードしたOracle Fusion Data Intelligenceアイデンティティ・ドメインの署名証明書を選択します。
  3. NameIDフォーマットで、「未指定」を選択し、NameID値「ユーザー名」を選択します。
  4. 「詳細設定」セクションで、「署名証明書を署名に含める」および「シングル・ログアウトの有効化」を選択します。Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルと署名証明書を使用して、「シングル・ログアウトURL」および「ログアウト・レスポンスURL」の値を入力します。
  5. 「認証および認可」セクションを展開し、「認可として付与を強制」オプションが選択されていないことを確認します。
  6. 「終了」をクリックし、「アクティブ化」をクリックします。
  7. Oracle Fusion Data Intelligenceアイデンティティ・ドメインにナビゲートし、作成したSAMLアプリケーションをクリックして編集します。
  8. SAMLアイデンティティ・プロバイダの編集で、「ログインのテスト」をクリックして、正常にログインできることを確認します。